オンラインのPDFを使って企業メール情報を狙うフィッシング

企業メールの認証情報を入手しようと、Adobeのオンラインサービスを装って偽の通知を送りつける攻撃が見られています。

企業メールの認証情報を狙うフィッシングには、さまざまなパターンがあります。このところ新たに加わったのは、Adobeのオンラインサービスから届いたように見せかけた通知を使う手口です。オンラインのPDFファイル(AdobeのWebサイトに保存されていると思われるファイル)がフィッシングに使われ始めたことを受け、私たちは本物のPDFファイルを作成して、フィッシングメールと偽の「オンラインPDF」を本物と比べてみることにしました。

「Adobe PDF online」のフィッシングメッセージ

偽の通知メールの中で最初に目につくのが、ファイルに関する説明文です。このファイルは「secure Adobe PDF online(安全なAdobe PDF online)」を通じて共有されました、と書かれています。さて、そのようなサービスは実在するのでしょうか?実際にありそうな名前ではあります。Google検索してみると、確かにAdobeがPDFファイルをオンライン保存するサービスを提供していることが分かりますし、暗号化されたファイルをそのサービスを通じて共有可能なようです。ただ、「Adobe PDF online」という名称は、本物のAdobeのWebサイトのどこにも見つかりません。「Adobe Acrobat online」または「Adobe Document Cloud」ならあります。好奇心をかき立てられた私は、同僚に頼んでファイルを1つ共有してもらい、通知メールを見比べてみることにしました。以下の画像は、偽通知と本物の通知を並べたものです。

右が本物の通知メール、左がフィッシングメール

右が本物の通知メール、左がフィッシングメール

Adobeから届く本物のファイル共有通知メールを見たことがないと仮定して、上記のメールを比較してみましょう。見分けるポイントは、いくつかあります。以下の項目のどれか一つに当てはまったからといって詐欺だと断定はできませんし、どんな規則にも例外はあるものですが、それでも当てはまる項目があれば、怪しいと見て注意深く確認し、さらに詳しく調べるきっかけにすべきです。

  1. 送信者:メールがオンラインサービスから送られたものなら、送信者の名前とメールアドレスを見れば明らかにそうだと分かるはずです。逆に、送信者が個人であれば、個人からのメールなのにサービスからの通知のように見えるはずがありません。
  2. 件名:例えば自分がLeoという名前の人にメッセージを送る場合、メールの件名に「leonides@gmail.com received a PDF file(leonides@gmail.comさんにPDFファイルが届きました)」などと書くでしょうか?
  3. サービス名:オンラインサービスの名前を全部覚えている必要はありませんが、こんな名称のサービスがあったかどうか確信が持てないときは、検索エンジンを使って調べましょう。
  4. ハイパーリンクやアイコン:メール内の「ダウンロード」アイコンや「開く」アイコンをクリックする前に、アイコンの上にカーソルを置いてみて、ハイパーリンク先が本来開くべきWebサイトのURLかどうかを確認してください。
  5. メールのフッター:本当にAdobeからのメールであれば、文末に「Microsoft respects your privacy(Microsoftはお客様のプライバシーを尊重しています)」という文面が入るはずがありません。
  6. 「please read our Privacy Statement(当社のプライバシー声明をお読みください)」という文言に、ハイパーリンクがついていません。

Adobe Document CloudではないWebサイト

現時点ではまだフィッシングメールの送り手がミスを犯すことを当てにできますが、相手がうまくやる可能性がないわけではありません。メールがいかにも本物らしく見える場合は、そのWebサイトをチェックしましょう。以下の例では、認証画面の背後に、Adobe Acrobat Reader DCのインターフェイスにぼかしをかけたものが表示されています。確かに本物のように見えますが、Adobeのオンラインサービスの本物のWebサイトと本物のログイン画面を知っている人ならば、おかしいところに気付くはずです。

フィッシングサイトのパスワード入力画面(上)と、本物のAdobeのWebサイトのパスワード入力画面(下)

フィッシングサイトのパスワード入力画面(上)と、本物のAdobeのWebサイトのパスワード入力画面(下)

怪しいかどうかを見分けるポイントはさまざまですが、まず指摘したいのは、ぼかしがかかった背景です。社外秘の情報を見せないようにするにしてはかなり雑で、文字の一部が肉眼で簡単に解読できるというのは、プロフェッショナルなサービスにあるまじきレベルです。

  1. URL:AdobeのサービスのWebサイトであれば、WebサイトのアドレスにAdobeのドメインが使われているはずです。
  2. ファイル名:ぼかしがかかっていますが、ファイル名が「EMInvoice_R6817-2.pdf」であることは判読できます。このファイル名は、認証画面上に表示されたファイル名と一致しません。認証画面の方に表示されたファイル(ダウンロード可能なファイル)の名前は「Wire Transfer Receipt.pdf」となっています。
  3. 用語の不統一:ぼかしがかかったドキュメントには「Invoice(請求書)」と書かれています(つまり支払いの依頼です)。しかし、ファイル名は「receipt(領収書)」となっています(こちらは支払いを受け取ったことの確認です)。
  4. プログラムのバージョン:ぼかしがかかった背景には「Adobe Acrobat Reader DC」と見えますが、認証画面にあるプログラムの名前は「Adobe Reader XI」となっています。PDFをたまにしか使わない人は、XIが古いバージョンのことだとは知らないかもしれませんが、それでもバージョンが一致していないことには気付くはずです。
  5. AdobeDoc Security:フィッシングサイトの方のログイン画面には「This File is Protected by AdobeDoc Security(このファイルはAdobeDoc Securityによって保護されています)」と書かれています。「AdobeDoc」の横に登録商標マークがついているので、この名前のサービスやテクノロジーをAdobeが持っているかどうか調べてみるとよいでしょう。
  6. メールパスワードのリクエスト:正規のAdobeのサービスがメールのパスワードを聞いてくるはずはありません。

企業メールをフィッシングから守る方法

社員をフィッシングから守る方法として、以下の対策をお勧めします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?